云平臺下轉變運維模式勢在必行

文/涂慶華 李華峰 高靜

從國際著名咨詢機構Gartner發布的IT新技術成熟度曲線可以看出，一項技術最吸引眼球、最炙手可熱的階段是在它的期望膨脹期，但這只是一個風口，它真正作為一項普及技術，大規模應用是在其平穩成熟期。經過5年多的發展，云計算和私有云達到它的平穩成熟期，已成為一項普及技術。

近年來，南京理工大學進行了虛擬化云平臺的建設，取得了一些實踐經驗。據此，結合當前虛擬化和云計算的發展趨勢，對未來的應用前景做一些探討。

虛擬化平臺現狀

南京理工大學目前共部署有17臺虛擬化主機，承載近200臺虛擬機，涵蓋了學校大部分的核心業務系統。從經濟角度來看，高密度刀片服務器搭配高整合比的虛擬化方案，極大節約了數據中心的空間及能耗；從管理角度來看，集中統一的虛擬機資源管理提升了運維效率，降低了人員工作負載，資源申請流程效率提升了80%以上。虛擬化平臺的高可用性、在線遷移等優勢功能最大限度地保障了業務的連續性。總體看來，虛擬化平臺無論在總體擁有成本還是簡化運維管理方面，都起到了顯著效果。

虛擬化平臺分為虛擬化平臺1期和虛擬化平臺2期兩個集群。其中1期集群內14臺虛擬化宿主機，主要運行在IBM 刀片內（建設時間較早）；2期集群內有3臺虛擬化宿主機，主要運行在X86平臺PC服務器上。

當前，南理工虛擬化平臺內承載了超過180余臺虛擬機，通過裸光纖實現了校園內兩機房SAN網絡的互通。底層存儲設備通過存儲的同步技術實現了跨機房的存儲鏡像，確保了業務數據的安全。

虛擬化平臺使用的經驗總結

虛擬機的蔓延

從管理角度看，有時候，虛擬化的優勢也是問題的根源。虛擬機的部署相比傳統實體機更方便和快捷，同時也造成了虛擬機的大量蔓延。例如：業務部門某個項目臨時需要使用幾臺虛擬機，但項目結束后并未及時回收，久而久之，大量無用的虛擬機空轉運行，造成了資源的極大浪費。因此，需要加強對虛擬機的生命周期管理來防范此類問題。

現有存儲架構的局限

盡管計算虛擬化（服務器虛擬化）是一個分布式架構，滿足云平臺資源橫向擴展（Scale-Out）的技術要求，但目前的存儲架構仍然采用集中式的SAN/NAS存儲。SAN/NAS存儲是縱向擴展（Scale-Up）架構，當存儲的容量和性能到達瓶頸時，需要進行擴容、更新、數據遷移等一系列操作，涉及預算采購及人力服務，還需考慮設備利舊，也不符合云平臺橫向擴展的需求。

當前，存儲技術日新月異，除傳統的SAN/NAS，分布式存儲、軟件定義存儲、對象存儲都有各自的適用場景，未來需要結合高校不同的業務類型，實現精細化適配。例如，圖書館應用場景，對存儲容量要求高，對性能要求相對低一些。針對這樣的業務場景，可以考慮使用并行NAS存儲或對象存儲；對于一卡通業務，穩定性、并發性要求較高，容量要求較低，可采用塊存儲技術；對虛擬化平臺而言，各方面的需求相對平衡，從擴展性角度考慮，采用軟件定義存儲會更合適。

網絡安全管理的挑戰

在全校信息資產梳理工作中發現，虛擬化平臺的系統密度較高，且各類應用的操作系統版本繁雜，更容易加速風險傳遞，在網絡安全管理上面臨極大挑戰。所以，加強安全防范風險要從技術和管理上雙管齊下，技術上進行加固，管理上要有明確的制度規范。

虛擬化平臺的運行機制不同于傳統實體機，在安全防護上也需要有合適防護手段。傳統的網絡防火墻、IDS/IPS等仍然可用，但不夠精細化。傳統的網絡安全手段防護更多的是數據中心南北向流量，屬于入口防護，當威脅進入數據中心內部后基本屬于不設防狀態，通過無保護的東西向流量將可快速傳播。

在所有服務器間部署防火墻基本不現實，而且對于虛擬化環境，也無法部署傳統防火墻。網絡虛擬化的微分段技術，可實現對數據中心內部東西向的流量進行保護。微分段技術通過虛擬出多個分布式虛擬防火墻，可以做到針對每一個虛擬機配置一個虛擬機防火墻，并為每個虛擬機提供定制化的安全策略。例如前段時間大規模爆發的勒索病毒，通過445端口對服務器系統進行攻擊，如果部署了分布式虛擬防火墻，可以有兩種方式進行防御。一種方法是對虛擬機進行分類，應用不同的分類安全策略。例如Web服務器，通常只需開通80和8080端口，可直接在保護Web服務器的虛擬防火墻上設置“80,8080 Allow，其余所有端口Deny”的策略；第二種方法是在網絡虛擬化的控制中心設置一條“端口445 Deny”的策略，然后統一下發到各個虛擬防火墻即可。在對虛擬機進行分類后，同一類的虛擬機屬于相同的安全策略區，無論該虛擬機在集群中如何遷移，這些安全策略始終是跟隨虛擬機的。相對于傳統基于端口的網絡安全策略，分布式虛擬防火墻提供的網絡安全策略更加靈活、高效。

傳統管理模式的挑戰

虛擬化的利用率可分為三個階段：第一階段為0～30%，第二階段為最多70%，第三階段則達到70%以上。成本節約貫穿上述所有階段，第一階段通過資金開銷整合實現節約，第二階段通過自動化管理模式降低運維開銷，第三階段可真正實現敏捷性提高。以上是虛擬化平臺向云計算平臺轉變的必然過程。

這一轉變使得信息化部門能夠轉變運維方式，從被動反應轉變為主動創新的部門，從而將節約的IT資源投入到有助于實現關鍵業務目標的新應用/服務或計劃。主動創新的部門更能與業務目標保持一致，并且對高校的發展、創新和競爭能力起著更為關鍵的作用。在云平臺下，現有的管理模式已不能滿足需求，轉變運維模式勢在必行，流程及工具成為云平臺運維模式下的必備選項，例如，通過監控工具可以及時發現正在發生或潛在的問題，并可通過流程觸發具體的運維動作。

未來展望

云平臺是由IaaS、PaaS和SaaS三個層面組成，做個簡單的比喻，IaaS是一座寫字樓的地基，包括水、電、管網等基礎設施；PaaS則是一座座標準化的寫字樓；SaaS是寫字樓的租用客戶。虛擬化只解決了基礎設施資源的集中化和集約化，面向業務應用、標準化的PaaS平臺是未來的趨勢。

當前大部分的系統都是以業務為導向，這種“業務決定資源”的豎井式模式，將帶來一系列的資源瓶頸問題。同時，還存在另外一個問題，軟件資源沒有標準化。每個應用開發商可能會使用不同的軟件版本，比如A應用使用Windows 2012/SQL Server；B應用要求Redhat Linux/MySQL；C應用是Suse Linux/Oralce。每個應用要求的軟件資源都不相同，直接造成軟件無法管理的問題。軟件版本的不統一給運維管理帶來了很大挑戰，也是安全風險的根源之一。

通用基礎軟件平臺提供的是標準化的軟件服務。可以梳理業務應用的特點，精簡成幾類標準的軟件鏡像，再封裝成軟件服務提供給業務應用。例如，經過業務分析，高校信息化服務平臺只需要提供Weblogic、Tomcat兩類標準化的中間件版本，及SQL Sever、MySQL兩類標準化的數據庫版本，再通過平臺封裝成四類軟件鏡像，提供中間件和數據庫服務接口，并形成使用規范和標準。新開發的業務應用都必須按照通用基礎軟件平臺的要求去開發應用。

這種方式帶來的好處有很多，第一，盡可能地精簡和統一了軟件類型和版本，減輕了運維壓力和安全風險；第二，將應用和基礎軟件解耦，應用只需要關心業務邏輯和代碼實現即可，給應用瘦身的同時提高了業務的敏捷性；第三，標準化的數據庫使用規范提高了數據質量，減輕了大數據業務繁重的數據治理工作。這也是現在“重平臺、輕應用”的趨勢和路徑。

未來，南京理工大學的信息化要從虛擬化全面向云平臺過渡，把能虛擬化的資源都進行改造，打造綜合云平臺，構建微服務，優化業務流程，為智慧校園建設奠定堅實基礎。